Jak ostrzega Trend Micro, wiele kampanii cyberprzestępczych wykorzystuje Mistrzostwa Świata w Piłce Nożnej 2010, aby nakłonić kibiców do udostępniania poufnych danych.
Zaprenumeruj newsletterJeden z najnowszych ataków wykorzystujących mistrzostwa świata w piłce nożnej jako przynętę opiera się na stosowaniu metod socjotechnicznych i szkodliwego oprogramowania na portalu Twitter. Kilka takich szkodliwych programów rozpowszechnianych za pośrednictwem popularnego serwisu blogerskiego wykrył Ivan Macalintal, specjalista ds. badania zagrożeń z firmy TrendLabs. Tego rodzaju kampanie wykorzystują interesujące wydarzenia, aby nakłonić użytkowników do kliknięcia zainfekowanych łączy umieszczonych w informacjach publikowanych w serwisie Twitter.
Pierwsza kampania związana ze zbliżającymi się mistrzostwami świata polegała na zamieszczeniu w serwisie Twitter publikacji z odpowiednim łączem. Kliknięcie go powoduje pobranie kopii furtki o nazwie BKDR_BIFROSE.SMK. Łączy się ona z adresami IP, które pozwalają zdalnemu użytkownikowi na przeprowadzenie w zainfekowanych systemach szkodliwych działań, takich jak wysyłanie i odbieranie plików oraz keyloggerów, a także pozyskiwanie nazw użytkownika i haseł. Furtka zawiera również funkcje rootkita, co umożliwia ukrycie tych procesów i plików przed ofiarami.
W innym ataku wyróżniono dwa oddzielne wątki rozsyłanego spamu. Pierwsza próbka spamu zawierała plik załącznika z rozszerzeniem .DOC, który informował odbiorców o najnowszym konkursie „Final Draw”, urządzanym we współpracy z komitetem organizacyjnym mistrzostw świata. Była tam również wzmianka o nagrodzie w wysokości 550 000 USD. Aby ją jednak odebrać, „zwycięzca” musiał natychmiast potwierdzić informacje kontaktowe zawarte w wiadomości. Musiał też przesłać swoje dane osobowe.
Kolejna próbka związana z tym oszustwem to kiepsko napisana wiadomość e-mail z równie słabym załącznikiem w formacie PDF. Odbiorców wiadomości poproszono o ujawnienie konkretnych informacji potrzebnych do wykonania przelewu środków w dającej do myślenia kwocie 10,5 mln USD. Po przystaniu na propozycję odbiorca teoretycznie powinien otrzymać 30% podanej kwoty. To typowe przykład tzw. "oszustwa nigeryjskiego", polegającego na obiecywaniu ofiarom dużych sum pieniędzy, takich jak wygrana na loterii lub spadek, w zamian za coś mniejszego, np. za podanie określonych informacji lub przekazanie małej darowizny pocztą elektroniczną. Wiadomość zaczyna się od przedstawienia nadawcy jako członka jakiejś szanowanej instytucji. Następnie jest zamieszczana rozpaczliwa prośba o pomoc. Wykryty przez Trend Labs spam związany z mistrzostwami świata wykorzystuję tę samą technikę.
Spam nie zawiera bezpośredniej prośby o gotówkę. Zamiast tego w obydwu oszustwach znajduje się prośba o podanie informacji bądź o skontaktowanie się z fałszywą osobą kontaktową wraz z wezwaniem do przesłania informacji kontaktowych. Mówiąc wprost, cyberprzestępcy stojący za tymi atakami to oszuści wykorzystujący Internet do popełniania przestępstw, takich jak kradzież tożsamości, rozsyłanie spamu, wyłudzanie danych osobowych i inne.
Pracownicy firmy TrendLabsSM poddali analizie ostatnio otrzymany e-mail pochodzący z innej kampanii rozsyłania spamu. Spam ten zawiera załącznik w formacie .PDF, w którym znajdują się informacje na temat rzekomej wygranej na loterii. W załączniku znajdują się również instrukcje dotyczące podania danych osobowych i przesłania ich do osoby kontaktowej lub nadawcy wiadomości, co jest konieczne do potwierdzenia praw do nagrody.
Elementem łączącym ostatnie kampanie rozsyłania spamu była osoba nadawcy wiadomości - pani Michelle Matins, wiceprezes - która była również sygnatariuszem oszustwa 419 (oszustwa nigeryjskiego). Niektóre otrzymane próbki nie zawierały załączników i zostały podobno wysłane przez wiceprezesa FIFA o nazwisku Geoff Thompson. Dalsze śledztwo w tej sprawie wykazało, że to nazwisko pojawiało się już dawniej w próbach oszustwa.
Pierwszy atak spamu związany z Mistrzostwami Świata w Piłce nożnej 2010, udokumentowany przez TrendLabsSM, miał miejsce w pierwszej połowie roku 2009, na 18 miesięcy przed wydarzeniem. Spam ten dotyczył wygrywania nagród w loterii internetowej.
Źródło: Trend Micro
